Windows事件日记中事件类型有哪些？-群英

上一篇：windows10修复系统用什么命令符？方法是什么？下一篇：win10电脑修改ip地址的方法是什么？

这篇文章给大家分享的是Windows事件日记中事件类型的相关内容，Windows事件日记中事件类型有信息、警告、错误、成功审核和失败审核这五种，接下来我们详细的了解看看。

Windows操作系统在其运行的生命周期中会记录其大量的日志信息，这些日志信息包括：Windows事件日志（Event Log），Windows服务器系统的IIS日志，FTP日志，Exchange Server邮件服务，MS SQL Server数据库日志等。Windows事件日志文件实际上是以特定的数据结构的方式存储内容，其中包括有关系统，安全，应用程序的记录。每个记录事件的数据结构中包含了9个元素（可以理解成数据库中的字段）：日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。

查看系统日志方法，Windows系统中自带了一个叫做事件查看器的工具，它可以用来查看分析所有的Windows系统日志。打开事件查看器方法：开始->运行->输入eventvwr->回车的方式快速打开该工具。系统内置的三个核心日志文件（System，Security和Application）默认大小均为20480KB（20MB），记录事件数据超过20MB时，默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为1024KB，超过最大限制也优先覆盖过期的日志记录。

Windows事件日志中共有五种事件类型，所有的事件必须拥有五种事件类型中的一种，且只可以有一种。五种事件类型分为：

1.信息（Information）信息事件指应用程序、驱动程序或服务的成功操作的事件。

2. 警告（Warning）警告事件指不是直接的、主要的，但是会导致将来问题发生的问题。例如，当磁盘空间不足或未找到打印机时，都会记录一个“警告”事件。

3. 错误（Error）错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载，那么它会产生一个错误事件。

4. 成功审核（Success audit）成功的审核安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，例如所有的成功登录系统都会被记录为“ 成功审核”事件。

5. 失败审核（Failure audit）失败的审核安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审核事件记录下来。

Windows事件日志中记录的信息中，关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。其中事件的ID与操作系统的版本有关。

五种事件类型中，最为重要的是成功审核（Success Audit），所有系统登录成功都会被标记成为成功审核。每个成功登录的事件都会标记一个登录类型。

当服务器出现入侵攻击或者中病毒的时候，这些日志信息在取证和溯源中扮演着重要的角色，如果无法通过日志取证进行溯源，往往无法查到入侵攻击或者病毒感染的本质原因，只是单纯的修复系统，恢复业务，很有可能一段时间后，入侵攻击和病毒感染还会按照同样的路径攻击得手，彻底查出系统安全漏洞所在的必要依据就是系统日志。如何设置，归档，利用日志做好溯源工作等也是安全工作的重要一环。

现在大家对于Windows事件日记中事件类型应该都有所了解了，希望大家阅读完这篇文章能有所收获。最后，想要了解更多Windows操作系统的内容，大家可以关注群英网络其它相关文章。